Похоже, что для защиты источника самого файла php. Звучит так, будто ты хочешь запутать и прекомпилировать. Существует ряд инструментов, которые скомпилируют ваши php-файлы в двоичные файлы. Не машинный код, а своего рода байт-код. Есть и другие, которые просто запутывают исходный код.
Они оба просто "безопасность по неизвестности". Если вы не распространяете исходный текст программы, пользователи не должны нигде просматривать эти файлы.
Возможно, ваш вопрос заключался в том, как запретить пользователям загружать файл php / pem? Вы будете делать это так же, как защищаете все свои файлы конфигурации паролями, а не паролями. Либо сообщив веб-серверу НЕ разрешать их обслуживание, либо поместив их в каталог за пределами места размещения веб-сервера.